Die Authentifizierung digitaler Identitäten und die Verschlüsselung von Daten nehmen mit der zunehmenden Abhängigkeit vom Internet der Dinge (IoT) exponentiell zu. Unternehmen setzen auf Technologie, um Risiken zu minimieren, Vermögenswerte zu schützen und Betriebskosten zu senken, indem sie den Zugang zu Informationen und Systemen schützen. In der Vergangenheit waren Benutzernamen und Passwörter der goldene Standard, aber je mehr wir über die Sicherheit in einer hypervernetzten Welt lernen, desto beliebter werden alternative Methoden, die auf Public Key Cryptography basieren. Als ob es nicht schon kompliziert genug wäre, die richtige Mischung von Sicherheitstechnologien für einen bestimmten Anwendungsfall zu finden und zu implementieren, kommt CryptoPeak Solutions LLC hinzu, um dem Ganzen einen Strich durch die Rechnung zu machen.
Lassen Sie mich die Bühne bereiten: Certified Security Solutions (CSS) lebt und atmet digitale Identität, Verschlüsselungs- und Signierungstechnologien. Ich persönlich verbringe praktisch jede wache Stunde mit der Erforschung digitaler Zertifikate, die in SSL/TLS verwendet werden, um zu verstehen, wie Identität in der freien Wildbahn dargestellt (und manchmal falsch dargestellt) wird. Diese Woche war ich enttäuscht, als ich im Internet von einer Reihe von Klagen las, die das Vertrauen in digitale Zertifikate untergraben könnten.
ECC-Patent-Trolling
CryptoPeak Solutions LLC verklagt mehr als 70 große Unternehmen wegen angeblicher Verletzung des US-Patents 6202150B1, das im Wesentlichen Fragen der Schlüsselverwaltung in Kryptosystemen abdeckt. CryptoPeak behauptet offenbar, dass jede Website, die HTTPS-Inhalte bereitstellt und digitale Zertifikate mit Elliptic Curve Cryptography (ECC)-Schlüsseln verwendet, gegen ihr Patent verstößt. Dieses Verhalten wurde von vielen technischen und juristischen Experten als "Patent-Trolling" bezeichnet, und ich stimme dieser Einschätzung im Allgemeinen zu. Was mich jedoch viel mehr beunruhigt als die rechtliche Frage, ist das Verständnis der potenziellen Auswirkungen, die diese Klagen auf das SSL/TLS Ökosystem - und die größere Welt der IoT Sicherheit - haben könnten, die sich aus diesen Gerichtsverfahren ergeben könnten.
Unser CSS-Forschungsteam hat eine Umfrage zur Überwachung von Zertifikaten durchgeführt, indem es das gesamte Internet mit dem Ziel gescannt hat, zu erfahren, wie digitale Zertifikate verwendet werden. Anhand der gesammelten Daten haben wir etwa 2.700 Websites im Internet identifiziert, die ECC-Schlüssel in den SSL/TLS Zertifikaten für HTTPS verwenden. Obwohl die Zahl der Websites, die ECC verwenden, wächst, gehören viele dieser Websites derzeit nur einer Handvoll von Unternehmen. Auf Facebook als Unternehmen entfallen zum Beispiel mehr als 60 dieser fast 2.700 Websites.
Die größeren Auswirkungen des ECC-Patent-Trolling
Auch wenn die Zahl der ECC-Schlüssel-Anwender im Vergleich zu den weiter verbreiteten RSA-Schlüsseln für SSL/TLS relativ gering ist, sind die Klagen von CryptoPeak beunruhigend, weil sie sich möglicherweise negativ auf die künftige Annahme und Erneuerung von digitalen Zertifikaten mit ECC-Schlüsseln auswirken. Sicherheit im Internet basiert auf Vertrauen, und Vertrauen wird von Organisationen verdient, die eine starke Sicherheitshaltung einnehmen und starke kryptographische Schlüssel für die SSL/TLS Zertifikate für ihre Webserver wählen. Patent-Trolling in diesem Bereich ist besonders beunruhigend, weil es das Vertrauen in digitale Zertifikate schwächt, was die sichere Kommunikation gefährdet, da Organisationen ihre Verwendung von ECC-Schlüsseln zugunsten schwächerer Kryptosysteme überdenken, um die Möglichkeit zu vermeiden, in Verletzungsklagen genannt zu werden.
Darüber hinaus stützt sich ein Großteil der Sicherheit im aufkeimenden Internet der Dinge auf ECC-Schlüssel, um die Kommunikation zu sichern und die Identität festzustellen. Ein großartiges Beispiel ist die Entwicklung der vom US-Verkehrsministerium vorgeschriebenen Fahrzeug-zu-Fahrzeug- (V2V) und Fahrzeug-zu-Infrastruktur- (V2I) Systeme, bei denen ECC-Schlüssel aus mehreren Gründen bevorzugt werden, u. a. wegen der geringeren Größe der Zertifikatsdatei, des geringeren Energiebedarfs und der ähnlichen kryptografischen Stärke bei geringerer Schlüsselgröße im Vergleich zu RSA-Schlüsseln. Obwohl sich die CryptoPeak-Klagen derzeit auf Anwendungen für HTTPS zu beschränken scheinen, könnte eine ähnlich weit gefasste Auslegung der Patentsprache Unternehmen dazu veranlassen, auf ECC und seine Vorteile bei IoT -Anwendungen zu verzichten, um Rechtsstreitigkeiten zu vermeiden. Diese Entscheidung könnte sich nachteilig auf die Entwicklung von sicheren IoT Geräten und Netzwerken wie den oben erwähnten V2V- und V2I-Systemen auswirken.
Weltweite Internet-Zertifikatsforschung
Auf der CSS-Website finden Sie Daten zur aktuellen Internet-Landschaft von SSL/TLS sowie die Möglichkeit, einen individuellen Bericht über die digitalen Zertifikate Ihres Unternehmens anzufordern, die wir bei der Überwachung der Nutzung von SSL/TLS im Internet beobachtet haben: https://www.css-security.com/research/.
Für weitere Informationen über die Umfrage zur Überwachung von Zertifikaten und die Arbeit von CSS Research kontaktieren Sie uns bitte unter [email protected].
